Windows Log Analizi — Kullanıcı İşlemleri Analizi
Bu yazımızda kullanıcı işlemlerinin analizini ele alacağız.
Peki kullanıcı işlemleri neden önemlidir?
Bir sisteme giriş yapan saldırgan ilk olarak kendine bir kullanıcı oluşturur. Ve kendini farklı gruba/gruplara eklemek ister. Böylece farklı yetkilerle farklı sistemlere erişim sağlmaya çalışabilir. Veya kritik bir kullanıcıyı sistemden kaldırabilir, grubunu değiştirebilir.
Not: Sisteme yeni bir kullanıcı eklendiğinde,çıkarıldığında veya domain admin grubuna bir kullanıcı eklendiğinde mutlaka SIEM üzerinden sistem yöneticisine ve diğer ilgililere mail veya SMS atılmalıdır. SMS için Nexmo vb. servisler kullanılabilir.
Windows 7 makinamızda cmd.exe aracılığıyla siber kullanıcısını aşağıdaki şekilde sisteme ekliyorum.
Eklenen kullanıcıyı Event Viewer aracılığıyla görüntülemek için 4720 Event ID filtrelemesi yapabiliriz.
4720 Event ID filtrelemesi sonucu sisteme eklenen kullanıcılar aşağıdaki şekildedir:
Şimdi ise sistemden test kullanıcısını silelim.
Silinen test kullanıcısını tespit etmek için 4726 Event ID’yi aşağıdaki şekilde filtreleyebiliriz:
Logun detayları aşağıdaki şekildedir:
siber kullanıcısını localde Administrators grubuna eklemek için aşağıdaki komutu kullanabiliriz:
Bu işlemin tespiti için ise 4732 Event ID’yi filtreliyoruz.
Çıktıda siber kullanıcısının Administrators grubuna eklendiğini görebiliriz.
